Java基础知识:新的Java漏洞已成为大规模攻击的目标
据国外媒体报道,一个标识为CVE-2013-2423的漏洞已经成为网络犯罪分子攻击的目标,而它正是甲骨文4月16日公布的Java 7 Update 21 修复的42个问题之一。
但甲骨文声称该漏洞仅影响客户端,而不是服务器。对于该漏洞造成的影响,甲骨文根据常见漏洞评分系统(CVSS)给出一个4.3的分数(满分为10分),并且甲骨文还补充说:“只有不受信任的Java Web Start程序和不受信任的Java applet才可能利用该漏洞。”
一个网名为Kafeine的独立恶意软件研究员周二在博客文章中说到,似乎较低的CVSS评分并不能阻止针对该漏洞的网络罪犯。漏洞CVE-2013-2423被集成到一个称为Cool Exploit Kit的高端Web攻击工具包,用于安装一个称为Reveton恶意软件。
Reveton是一类叫做勒索软件的恶意程序,用于向受害者勒索钱财。特别是,Reveton锁定受感染计算机上的操作系统要求受害者支付一个虚构的罚款,非法下载和存储文件。
芬兰反病毒厂商F-Secure公司的安全研究人员证实了CVE-2013-2423被广为利用。其中新一轮攻击从4月21日开始,直至周二仍然活跃。
F-Secure的研究人员透露,在该漏洞被添加到Metasploit(一个常用的开源渗透测试工具)一天后,针对该漏洞大规模攻击便开始。这不是网络犯罪分子第一次利用Metasploit攻击模块适应他们的恶意攻击工具包。
需要使用Java的用户(尤其是浏览器)应当尽快升级他们手中Java安装程序——Java 7 Update 21 。这个版本还改变了网站加载Web Java程序时的安全提示,以便更好地区分不同类型的应用程序运行的风险。
用户应当只允许他们信任的网站加载运行Java applet。像谷歌Chrome和MozillaFirefox这样的浏览器也有一个特点,被称为点击播放,可以用来阻止插件的内容在未经同意的情况下执行。
下一条:下面没有链接了